privacidad « SigmaCorporate

Articles Tagged with: privacidad

El misterio de la Directora inexistente.

Saltó la sorpresa. O más bien la Directora. Porque ayer podíamos leer en un diario digital la extraordinaria noticia de que la Directora de la Agencia de Protección de Datos no existe. Y cómo puede ser eso, se preguntarán algunos. Porque en la página de la Agencia, concretamente dentro de la pestaña de organigrama, hay otra destinada a la Directora, en la que figura como tal Mar España Martí, describiéndose su currículum y sus funciones.

Lo sorprendente es que nadie dentro del organismo parece haber caído en la cuenta de que el Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, en su disposición adicional única, dispone que quedan suprimidos los siguientes órganos directivos:

El Director de la Agencia Española de Protección de Datos.
El Registro General de Protección de Datos.
La Inspección de Datos.

Pues si bien del Registro y la Inspección no quedan rastros, lo cierto es que al frente de la Agencia sigue figurando la Directora General de la misma, sin que nadie pueda explicar en derecho cuál es la base legitimadora que le permite hacerlo.

Desde luego no será el Estatuto actual de la Agencia, que no contempla dicha figura, atribuyendo la dirección a la Presidencia de la Agencia Española de Protección de Datos, designada de conformidad con el procedimiento establecido en el artículo 48 de la Ley Orgánica 3/2018 de Protección de Datos.

Tampoco el Estatuto anterior conforme al cual fue nombrada, aprobado por Real Decreto 428/1993, qué queda derogado expresamente por la disposición derogatoria única del Real Decreto 389/2021.

La situación ha quedado al descubierto merced al dictamen jurídico elaborado por Javier Borrego, exmagistrado del Tribunal Supremo y del Tribunal Europeo de Derechos Humanos, actualmente abogado en el despacho Durán & Durán, que lo ha aportado en un procedimiento contencioso administrativo contra la Agencia Española de Protección de Datos en la Audiencia Nacional. Según el dictamen citado, la alto cargo que ratificó las sanciones impugnadas en calidad de «directora de la AEPD» no tiene facultades legales para desempeñar ninguna función ni aprobar ninguna resolución o sanción administrativa desde junio de 2021.

Y no podemos estar más de acuerdo con la postura, dado que la anomalía de que se estén dictando resoluciones sancionadoras en materia de derecho fundamentales, firmadas por una persona titular de un órgano administrativo inexistente, choca frontalmente con los principios de legalidad, competencia, interdicción de la arbitrariedad de los poderes públicos y cualquier otro principio básico de procedimiento administrativo que se nos venga a la cabeza.

No hablamos de un cargo público cuyo plazo de nombramiento está excedido y se encuentra en situación de interinidad o en funciones. Ni de una reestructuración administrativa, en la que se cambian la denominación y estructura del órgano, pues no hay ninguna disposición en ese sentido. Tampoco hay ninguna disposición transitoria que atribuya las competencias de la Presidencia de la AEPD, detalladas en el nuevo Estatuto, a la antigua Dirección.

La doctrina del órgano administrativo distingue entre:

El “órgano institución”, como conjunto de atribuciones o competencias.
El “órgano físico”, como persona llamada a ejercer dichas competencias.

Pues aquí nos encontramos con un “órgano institución” suprimido, conforme a derecho, cuyo titular físico ha decidido, por su cuenta y riesgo, seguir ejerciendo las competencias al margen de cualquier habilitación legal.

Porque si la “titular” del cargo actuara y firmara en calidad de Presidenta de la AEPD, órgano contemplado en la norma vigente, podríamos discutir si el nombramiento es legítimo o no, pero al menos habría una apariencia de legitimidad. Pero dado que esa “titular” ni siquiera pretende actuar en desempeño de las competencias de un órgano legítimo, sino de uno inexistente, es imposible otorgar cualquier legitimidad a sus actos.

La consecuencia, como señala el dictamen, es que todas las resoluciones y sanciones dictadas en los últimos tres años por la AEPD son «nulas de pleno derecho» y podrían ser recurridas. Y por supuesto la totalidad de las que se dicten mientras se continue en esta situación de “limbo jurídico”.

Las multas de la AEPD suman casi 80 millones de euros tan solo en los últimos tres años, según las memorias anuales de la propia Agencia. Estaremos atentos a ver qué sucede con ellas, así como con la totalidad de resoluciones que firme la “Directora” de la AEPD a partir de ahora.

La obligatoriedad de los canales de denuncia en el sector privado.

whistleblower

La entrada en vigor de la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, está dando lugar a múltiples problemas de aplicación, a los que no son ajenos las deficiencias en la técnica normativa utilizada y, en particular, las frecuentes remisiones, por vía directa o indirecta, a una multitud de normas comunitarias.

En este artículo nos vamos a referir a un aspecto tan básico como la determinación de las entidades del sector privado obligadas a establecer un sistema interno de información.

En este sentido el artículo 10.1 de la Ley dispone lo siguiente:

“Estarán obligadas a disponer un Sistema interno de información en los términos previstos en esta ley:

a) Las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores.
b) Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, deberán disponer de un Sistema interno de información que se regulará por su normativa específica con independencia del número de trabajadores con que cuenten. En estos casos, esta ley será de aplicación en lo no regulado por su normativa específica.

Se considerarán incluidas en el párrafo anterior las personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente”

Del literal del precepto podemos establecer las siguientes conclusiones:

Los empresarios, profesionales o cualquier tipo de entidad privada qué tenga contratados 50 o más trabajadores estarán obligados en todo caso a disponer de un sistema interno de información, con independencia de la actividad que realicen.
El empresario o profesional individual que actúe por cuenta propia y no tenga contratados a 50 empleados estará exento de la obligación de disponer de un sistema de información, igualmente con independencia de la actividad que realice.

El problema lo plantean los supuestos relativos a las personas jurídicas que no llega al umbral de los 50 trabajadores contratados. En este supuesto, la norma se remite al anexo de la directiva UE 2019 barra 1937. Dada la multiplicidad de actividades contempladas en dicho anexo y las referencias, a su vez, del anexo a distintas directivas, no es fácil determinar que actividades dan lugar a la obligación de implantar el sistema interno de información.

Con carácter previo hay que decir que no todas las actividades relacionadas en las partes I.B y II del anexo implican la obligación de disponer de un sistema interno de información. Así lo establece el artículo 10.1 de la ley, que entresaca de las actividades de dicho anexo cuatro materias concretas:

Servicios productos y mercados financieros.
Prevención del blanqueo de capitales o de la financiación del terrorismo.
Seguridad del transporte.
Protección del medio ambiente.

El primer apartado, servicios productos y mercados financieros, de acuerdo con el anexo, incluiría los productos bancarios, de crédito, de inversión, de seguro y reaseguro, de pensiones personales o de jubilación, servicios de valores, de fondos de inversión, de pago, entidades de dinero electrónico, gestores de fondos de inversión alternativos, fondos de capital riesgo europeos, fondos de emprendimiento social europeos y, en general, cualquier entidad privada de inversión.

En el segundo apartado quedarían incluidas las entidades del sector privado a la que les aplica la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo (IV Directiva) y, entendemos que en virtud de su transposición al ordenamiento nacional, la totalidad de los sujetos obligados en materia de prevención del blanqueo de capitales, incluidos en el artículo 2 de la ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, a saber:

Todo tipo de entidades de crédito e inversión, ya comprendidas en el apartado anterior, así como las entidades de dinero electrónico y las entidades de pago y entidades prestadoras del servicio de información sobre cuentas.
Las personas que ejerzan profesionalmente actividades de cambio de moneda.
Los servicios postales respecto de las actividades de giro o transferencia.
Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos.
Los promotores inmobiliarios y quienes ejerzan profesionalmente actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles o en arrendamientos suntuarios de bienes inmuebles.
Los auditores de cuentas, contables externos y asesores fiscales.
Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles.
Los abogados, procuradores u otros profesionales independientes cuando participen o asesoren en operaciones de la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos («trusts»), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria.
Las personas que con carácter profesional presten determinados servicios por cuenta de terceros.
Los casinos de juego.
Las personas que comercien profesionalmente con joyas, piedras o metales preciosos.
Las personas que comercien profesionalmente con objetos de arte o antigüedades.
Las personas que ejerzan profesionalmente las actividades a que se refiere el artículo 1 de la Ley 43/2007, de 13 de diciembre, de protección de los consumidores en la contratación de bienes con oferta de restitución del precio.
Las personas que ejerzan actividades de depósito, custodia o transporte profesional de fondos o medios de pago.
Las personas responsables de la gestión, explotación y comercialización de loterías u otros juegos de azar presenciales o por medios electrónicos, informáticos, telemáticos e interactivos. En el caso de loterías, apuestas mutuas deportivo-benéficas, concursos, bingos y máquinas recreativas tipo “B” únicamente respecto de las operaciones de pago de premios.
Las fundaciones y asociaciones.

Respecto a este tipo de entidades, señalar que el artículo 26 bis de la ley 10/2010 les impone la obligación de establecer un procedimiento interno de comunicación de potenciales incumplimientos en la materia, cometidos en el seno del sujeto obligado. Habrá que entender que, dado que los incumplimientos en materia de prevención de blanqueo de capitales constituyen una infracción administrativa grave, este canal específico va a estar sujeto a lo dispuesto en la ley 2/2023, lo que implicará la realización de las acciones de adaptación necesarias.

En este aspecto hay que señalar que el artículo 26. bis, en su apartado 5, prevé que, reglamentariamente, se exceptúen determinados sujetos obligados del cumplimiento de la obligación de establecer el canal.

Actualmente, el desarrollo reglamentario de la Ley 10/2010 es el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. El citado Reglamento establece la exceptuación de determinadas obligaciones en materia de control interno, documentación, organización, formación y supervisión para los sujetos obligados que ocupen a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 2 millones de euros. Como es lógico, dado que el Reglamento es anterior tanto al R.D-L. 11/2018 que introduce el canal de comunicación de incumplimientos, como a la Ley 3/2023, la excepción no se refiere al citado canal, por lo que plantea la cuestión de si cabe extender la excepción del canal a determinados sujetos (fundamentalmente los de carácter no financiero) que no superen los umbrales de facturación y contratación.

En este sentido, los principios de “lex posterior derogat anterior” y de jerarquía normativa, nos permiten afirmar que, en materia prevención de blanqueo de capitales, las excepciones de determinadas obligaciones a determinados sujetos obligados no se extienden a los que no superen los umbrales reglamentarios. Así y, en contra del criterio establecido en la comunicación del Consejo General de Economistas de 27 de noviembre de 2023, entendemos que la totalidad de los sujetos obligados personas jurídicas tienen que implementar el Sistema interno de información que , de acuerdo con la Ley, unificará la totalidad de los buzones o canales existentes en la entidad.

El tercer apartado, referido a las entidades privadas cuya actividad recaiga sobre materias de seguridad en el transporte afectará a las sociedades mercantiles y profesionales que realicen actividades comprendidas en el apartado D de la parte I del anexo. En particular actividades de seguridad en el sector ferroviario, seguridad para túneles de la red transeuropea de carreteras, profesión de transportista por carretera, inspección y reconocimiento de buques, transportistas de pasajeros por mar, transporte marítimo, operaciones de carga y descarga de los graneleros y transporte terrestre de mercancías peligrosas.

El problema surge en el apartado relativo a la materia de protección del medio ambiente, recogida en el apartado E de la parte I del anexo, debido a su amplitud, ya que cabría suponer comprendida dentro del mismo cualquier actividad en la que pudiera producirse un delito contra la protección del medio ambiente, en los términos del número 1 del apartado E.

Entendemos que una interpretación sistemática de la norma nos permite reducir el ámbito a las concretas materias recogidas en dicho apartado, pues de lo contrario sobraría el resto del articulado. Y dichas materias son, básicamente, el comercio de derechos de emisión de gases de efecto invernadero, energía procedente de fuentes renovables, seguimiento y la notificación de las emisiones de gases de efecto invernadero, gestión de residuos, reciclado de buques, exportación e importación de productos químicos peligrosos, determinadas normas relativas a contaminación marina, atmosférica y sonora, determinadas normas de protección de aguas y suelos y determinadas normas de protección de la naturaleza y la biodiversidad (pesca, maderas y conservación de aves), determinadas sustancias y mezclas químicas y productos ecológicos.

La lista no es precisamente pequeña, pero permite aplicar la exención a un conjunto amplio de actividades como el comercio minorista, construcción, hostelería, IT, entre otros.

Resumiendo, podemos decir qué la obligación de implantar un sistema interno de información acorde a la ley aplica a la totalidad de personas físicas y jurídicas del sector privado que empleen a 50 empleados o más y a las personas jurídicas que empleen a menos de 50 empleados si realizan actividades de carácter financiero, tienen la condición de sujetos obligados en materia de prevención de blanqueo de capitales, están sujetas a la normativa de seguridad en el transporte terrestre marítimo o aéreo, o trabajan en sectores relativos a emisión de gases de efecto invernadero, energías renovables o protección del medio ambiente, la naturaleza y la biodiversidad.

Por el contrario, estarán exceptuadas la totalidad de las personas físicas que empleen a menos de 50 trabajadores, cualquiera que sea la actividad a la que se dediquen, y las personas jurídicas que empleen a menos de 50 trabajadores y no operen en los sectores mencionados.

sigma-compliance-martinez-carande-protecciondatos

El Reglamento Europeo de Protección de Datos y las medidas de seguridad: ¿autorregulación, desregulación o abandono?

Sobre el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Reglamento Europeo de Protección de Datos para entendernos, se han vertido ya ríos de tinta, especialmente en las cuestiones más o menos novedosas relativas a la regulación del consentimiento, la privacidad por diseño y por defecto, los nuevos derechos, como la portabilidad de datos, o la figura del delegado de protección de datos.

Si bien es cierto que estas cuestiones tienen gran trascendencia (unas más que otras), se echa de menos literatura jurídica sobre un aspecto clave para el éxito o el fracaso en la garantía de los derechos de los titulares de los datos. Nos referimos a las normas relativas a la seguridad en el tratamiento de datos dentro de la UE.

En este apartado, el Reglamento, en su artículo 32, establece la obligación para el responsable y el encargado del tratamiento de “aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”. Esto no resulta especialmente problemático y en términos muy parecidos se expresa el actual artículo 9 de nuestra LOPD.

El problema surge en la forma en que se van a materializar en la práctica los mecanismos efectivos de garantía de la seguridad de los datos. Porque la LOPD, a través de su reglamento de desarrollo, establecía una panoplia de medidas de seguridad, en función de la clasificación de los datos, que marcaba la senda a seguir por empresas y organizaciones en la protección de los datos que tratan. En cambio, el Reglamento europeo apenas aporta unos pocos criterios que deben cumplir los responsables del tratamiento, algunos tan imprecisos como “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”, y otros tan rigurosos como “el cifrado”, sin especificar qué datos deben cifrarse.

Con el fin de dar una cierta seguridad a los obligados, el Reglamento se remite a dos mecanismos específicos de prueba de la eficacia de las medidas de seguridad adoptadas: los códigos de conducta y las certificaciones.

Pues bien, respecto a los primeros, es decir a los códigos aprobados por asociaciones y organismos representativos de cada sector, no son nada nuevo, pues ya estaban regulados por nuestra LOPD en su artículo 32. La prueba de su ineficacia es que, en los diecisiete años de vigencia de la Ley, se han aprobado apenas catorce códigos en algunos sectores aislados como el sanitario, cobros, seguros de automoción, y poco más.

Respecto a las certificaciones, los problemas que pueden plantearse son aún mayores dada la imprecisión de los criterios para determinar quién puede certificar y qué se puede certificar. Y aunque en el mundo de las certificaciones hay ejemplos de entidades rigurosas, hemos asistido en los últimos años a una pérdida de credibilidad del sector que nos hace dudar seriamente de su capacidad para garantizar la protección del derecho fundamental a la protección de los datos personales de los ciudadanos. Bien puede aplicarse al mismo la frase que precedía la entrada al infierno de Dante: “abandonad toda esperanza los que entráis aquí”.

Y más aún en cuanto que los ingresos de las certificadoras van a provenir precisamente de las empresas y entidades que tienen la obligación de cumplir las medidas de seguridad. En el conflicto entre el interés de las empresas y entidades por tratar los datos personales de los ciudadanos con el mayor beneficio propio y el menor coste de seguridad, y el de los ciudadanos en que sus datos se traten con el máximo respeto a sus derechos, el árbitro va a recibir sus emolumentos de las primeras.

Paradójicamente, el propio Reglamento, tras regular las certificaciones, dispone que serán de carácter voluntario y que “no limitarán la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento”. Ciertamente, para ese viaje no hacían falta alforjas.

En fin, que el Reglamento europeo parece haber optado en esta materia por una desregulación que no invita al optimismo. Recordemos, sin ir más lejos, las pésimas consecuencias de la dejación por la Administración del mandato de la LOPD de gestionar el censo promocional y las listas de exclusión de publicidad (las famosas Listas Robinson), que dio lugar a que no hubiera forma efectiva de librarse de comunicaciones comerciales en nuestro domicilio.

Habrá que estar al desarrollo del Reglamento por las autoridades de los estados miembros, pero lo cierto es que el contenido del mismo, a priori, hace temer por la seguridad de nuestros datos y por la seguridad jurídica de quienes tienen la obligación de tratarlos con ajuste a derecho. Nubes de tormenta se ciernen sobre nuestra privacidad y sólo un desarrollo normativo riguroso y adecuado podrá disiparlas.

La Sociedad de la Información y su regulación: dos velocidades distintas.

Un vistazo al “top ten” de empresas mundiales en 2016 pone de relieve un hecho que todavía muchos no alcanzan a comprender: la Sociedad de la Información, se ha impuesto definitivamente. Si en 2006 el ranking estaba copado por las grandes empresas energéticas y corporaciones financieras, dejando apenas algún hueco para el sector tecnológico, hoy todas ellas han retrocedido posiciones, desapareciendo en su mayoría del ranking, que encabezan Apple, Alphabet (Google) y Microsoft. A quien, hace solo diez años, hubiera afirmado que el “libro de caras” creado por un estudiante de Harvard superaría en capitalización bursátil a Shell, General Electric o Citigroup, le hubieran tildado de loco.

Las implicaciones son enormes: asistimos al triunfo definitivo de conceptos como computación “en la nube”, comercio electrónico, “big data”, minería de datos, etc., y otros que acabarán popularizándose, como la intermediación en el tráfico web. Conceptos todos ellos con una repercusión directa en los derechos fundamentales de las personas y en las relaciones sociales y económicas.

Pues bien, mientras la realidad circula a velocidad de vértigo, la regulación trata de alcanzarla al paso de una carreta de bueyes. Hace pocas semanas, escuchaba a un miembro de un organismo financiero público reconocer, en un acto de sinceridad, que no entendía los bitcoin. Lo que no es de extrañar, habida cuenta de la obsolescencia de nuestra regulación tecnológica. No olvidemos que la base de la misma es la LOPD, que va camino de cumplir 20 años y todavía contempla “dinosaurios” como someter las transferencias internacionales de datos a autorización administrativa previa. Sin olvidar las múltiples lagunas normativas existentes, que son el campo abonado para que los estafadores y demás delincuentes cibernéticos operen a sus anchas en el mundo digital.

El Reglamento Europeo de Protección de Datos, publicado en mayo pasado, pretende introducir un nuevo marco regulatorio que unifique y modernice la normativa europea sobre protección de datos, permitiendo a los ciudadanos mayor control de sus datos y a las empresas un mercado único digital. Para conseguirlo se ha dado una “vacatio legis” de dos años, largo me lo fiais, comenzando a aplicarse a partir de mayo de 2018. Mientras, los estados deberán adaptar su normativa para hacer posible su aplicación.

Sin entrar en un juicio crítico del Reglamento, y reconociendo aspectos muy positivos del mismo, suscitan enormes dudas su aplicabilidad en aspectos como el consentimiento o las evaluaciones de impacto, además de la gran cantidad de cuestiones que deja en el aire y que tienen completamente despistados a los operadores jurídicos que, hasta el necesario desarrollo por la normativa de los distintos estados, no saben realmente cuál es el modelo de protección de datos que estará vigente a partir de 2018.

Quedan casi dos años para que sea de aplicación, pero comienza a ser motivo de preocupación la incertidumbre jurídica que rodea a un aspecto tan esencial como la información y la privacidad. La complejidad del mundo digital, derivada fundamentalmente del volumen del tráfico de datos y la interconexión global, dificulta enormemente la tarea de abordar su regulación, pero eso no es óbice para que, al menos, nos lo propongamos. Para ello habría que preguntarse, entre otras muchas cuestiones, si se puede afrontar la empresa dotando a la Agencia Española de Protección de Datos de un presupuesto que no llega a los 15 millones de euros. Esperemos no tener que lamentarnos de abordar cuestiones tan importantes con tan magros recursos.